(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211164188.4 (22)申请日 2022.09.23 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 高炳俊　范渊　刘博　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 常亮 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种检测利用WebAs sembly进行攻击的方法 (57)摘要 本申请公开了一种检测 利用WebAssembly进 行攻击的方法， 涉及攻击流量检测技术领域， 包 括： 获取网站的网页源码； 从所述网页源码中查 找可疑wasm模 块， 并还原所述可疑wasm模块的文 件； 对还原后的文件进行反编译； 对反编译后的 文件进行黑名单字符匹配； 若黑名单字符匹配成 功， 则确定所述可疑wasm模块为恶意wasm模块。 应用该方法在IP域名未被标记为恶意之前就能 够及早发现恶意攻击事件。 本申请还公开了一种 检测利用WebAssembly进行攻击 的装置、 设备以 及计算机可读存 储介质， 均具有上述 技术效果。 权利要求书2页 说明书7页 附图3页 CN 115473744 A 2022.12.13 CN 115473744 A 1.一种检测利用WebAs sembly进行攻击的方法， 其特 征在于， 包括： 获取网站的网页源码； 从所述网页源码中查找可疑was m模块， 并还原所述可疑was m模块的文件； 对还原后的文件进行反编译； 对反编译后的文件进行黑名单字符匹配； 若黑名单字符匹配成功， 则确定所述可疑was m模块为恶意wasm模块。 2.根据权利要求1所述的检测利用WebAssembly进行攻击的方法， 其特征在于， 所述获 取网站的网页源码包括： 对所述网站发起请求， 从与所述网站交 互时的流 量提取所述网站的网页源码。 3.根据权利要求1所述的检测利用WebAssembly进行攻击的方法， 其特征在于， 所述从 所述网页源码中查找可疑was m模块包括： 通过正则匹配的方式从所述网页源码中查找可疑was m模块。 4.根据权利要求1所述的检测利用WebAs sembly进行攻击的方法， 其特 征在于， 还 包括： 若黑名单字符匹配不成功， 则模拟执 行反编译后的文件； 监测模拟执 行反编译后的文件的过程中是否发生可疑操作； 若模拟执行反编译后的文件的过程中发生可疑操作， 则确定所述可疑wasm模块为恶意 wasm模块。 5.根据权利要求1所述的检测利用WebAs sembly进行攻击的方法， 其特 征在于， 还 包括： 确定所述可疑was m模块为恶意wasm模块后， 输出was m模块攻击告警。 6.一种检测利用WebAs sembly进行攻击的装置， 其特 征在于， 包括： 获取模块， 用于获取网站的网页源码； 查找模块， 用于从所述网页源码中查找可疑wasm模块， 并还原所述可疑wasm模块的文 件； 反编译模块， 用于对 还原后的文件进行反编译； 匹配模块， 用于对反编译后的文件进行黑名单字符匹配； 第一确定模块， 用于若黑名单字符匹配成功， 则确定所述可疑wasm模块为恶意wasm模 块。 7.根据权利要求6所述的检测利用WebAs sembly进行攻击的装置， 其特 征在于， 还 包括： 执行模块， 用于若黑名单字符匹配不成功， 则模拟执 行反编译后的文件； 监测模块， 用于监测模拟执 行反编译后的文件的过程中是否发生可疑操作； 第二确定模块， 用于若模拟执行反编译后的文件的过程中发生可疑操作， 则确定所述 可疑wasm模块为恶意wasm模块。 8.根据权利要求7 所述的检测利用WebAs sembly进行攻击的装置， 其特 征在于， 还 包括： 告警模块， 用于确定所述可疑was m模块为恶意wasm模块后， 输出was m模块攻击告警。 9.一种检测利用WebAs sembly进行攻击的设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至5任一项所述的检测利用 WebAssembly进行攻击的方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机权　利　要　求　书 1/2 页 2 CN 115473744 A 2程序， 所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的检测利用 WebAssembly进行攻击的方法的步骤。权　利　要　求　书 2/2 页 3 CN 115473744 A 3